1. 程式人生 > >全面解析rhel6-防火墻iptables -- 基本用法

全面解析rhel6-防火墻iptables -- 基本用法

tro 數字 drop 匹配 同時 分類 routing rop cmp

規則鏈解析
鏈的用途:存放一條條防火墻規則
鏈的分類依據:處理數據包的不同時機
默認包括5種規則鏈

INPUT:處理入站數據包
OUTPUT:處理出戰數據包
FORWARD:處理轉發的數據包
POSTROUTING:路由選擇之後的處理
PREROUTING:路由選擇之前處理

表的用戶:存放不通的規則鏈
表的分類依據:防火墻規則的作用相似

raw表:確認是否對數據包進行狀態跟蹤
mangle表:為數據包設置表及
nat表:修改數據包的源/目標地址或端口
filter表:確定是否放行該數據包

規則表之間的順序

raw->mangle->nat->filter

規則鏈內的匹配順序
順序比對,匹配即停止(log除外)

若無任何匹配,則按該鏈路的默認規則

iptables -t filter -I INPUT -p icmp -j REJECT

基本語法

[-t 表名] 選項 -s 源IP地址 [-i 網卡名] [鏈名] [條件] [-j 目標操作] //默認表名filter

基本目標操作

accept:允許通過/方形
drop:直接丟棄,不給出任何回應
reject:拒絕通過,必要時給出提示
log:記錄日誌

選項

-A 在鏈的末尾追加規則
-I 在鏈的開頭插入一條規則
-L 列出所有
-n 以數字形式顯示地址、端口信息
-D 刪除
-F 清空所有
--line-numbers 查看規則時,顯示規則的序號

-P 指定默認規則

限制指定服務端口的訪問

iptables -A INPUT -s 192.168.168.0/24 -p tcp --dport 22 -j ACCEPT

主機防護,針對入站訪問的源地址

iptables -A INPUT -s 192.168.4.120 -j DROP

網絡防護,針對轉發訪問的源地

iptables -A FORWARD -s 源IP地址 -i 網卡名 -j 動作
-A INPUT -s 源網段 -p tcp --dport 斷口號 -j ACCEPT
#iptables -A FORWARD -s 192.168.0.0/16 -i eth1 -j DROP

全面解析rhel6-防火墻iptables -- 基本用法